HOME
CISSP セキュリティプロフェッショナル

「CISSP セキュリティプロフェッショナル」の記事一覧

セキュリティプログラムの有効性を経営層に報告する際、技術的な詳細（脆弱性数など）よりも重視すべき指標はどれか。

経営層はビジネスの継続性と利益に関心があるため、「重要システムの稼働率」や「インシデントによる損失…

2026年3月3日

LDAP（Lightweight Directory Access Protocol）において、通信をSSL/TLSで暗号化する「LDAPS」が標準的に使用するTCPポート番号はどれか。

標準のLDAP（平文）は389番、暗号化されたLDAPSは636番を使用する。グローバルカタログの場合は3268/3269…

2026年3月3日

GDPRにおける「データポータビリティの権利」とは何か。

データポータビリティ権は、ベンダーロックインを防ぎ、ユーザーが自分の個人データを自由に他のサービス…

2026年3月3日

CPUのメモリ保護機能であり、データ領域としてマークされたメモリページでのコード実行（シェルコード等）を禁止する機能はどれか。

NXビット（WindowsではDEP）は、スタックやヒープなどのデータ領域に実行権限を与えないことで、バッファ…

2026年3月3日

インシデント対応において、「証拠の連鎖（Chain of Custody）」文書に記載しなければならない重要事項に含まれないものはどれか。

Chain of Custodyには「誰がいつ持ち運び、保管したか」の履歴と同一性証明（ハッシュ）が必要だが、デー…

2026年3月3日

脅威インテリジェンスの階層において、攻撃者の動機、意図、長期的な戦略などを分析し、経営層（CISO等）の意思決定を支援するレベルはどれか。

戦略的インテリジェンスは、「誰が、なぜ、どのような傾向で」我々を狙うのかという大局的な視点を提供し…

2026年3月3日

Bluetoothのペアリングにおいて、数値比較やパスキー入力を用いず、デバイス同士を近づけるだけで接続する（NFC等を利用）簡易的な、しかし盗聴リスクのある方式はどれか。

Just Worksは、画面やキーボードがないデバイス向けの方式だが、MITM（中間者攻撃）に対する保護機能を持…

2026年3月3日

Webアプリケーションにおいて、JWT（JSON Web Token）の署名アルゴリズムを「None」に書き換えることで、署名検証を回避しようとする攻撃はどれか。

一部のJWTライブラリの実装不備を突き、ヘッダーのalgを"none"に変更して署名部分を削除したトークンを送…

2026年3月3日

ログ分析において、統計的なサンプリング（抽出検査）を行う主な理由はどれか。

大量のログ（ビッグデータ）を人間が全件精査するのは不可能なため、ランダムサンプリングや異常値抽出な…

2026年3月3日

暗号学的ハッシュ関数に対する「衝突攻撃（Collision Attack）」の定義はどれか。

衝突攻撃は、H(x) = H(y) となるような異なるxとyのペアを見つけ出す攻撃であり、これが成功するとデジタ…

2026年3月3日